Neue Sicherheitslücke im IE

Dieses Thema im Forum "Browser" wurde erstellt von Thomas S., 12. November 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Thomas S.

    Thomas S. Halbes Megabyte

    Registriert seit:
    17. Oktober 2001
    Beiträge:
    648
    Hallo Leute,

    habe gerade bei Heise von der neuen Sicherheitslücke im IE gelesen.

    http://www.heise.de/newsticker/data/pab-12.11.02-000/

    Die Melung wird wahrscheinlich eh in den nächsten Tagen bei der PCWelt eintrudeln. Ich gebe aber hier schonmal meinen Senf dazu ;-)

    > Microsoft wurde bereits am 4. Oktober informiert, aber bislang gibt es noch keinen Patch

    Was bitte versteht Microsoft unter den Begriff Sicherheit? Bei Mozilla sind Lecks binnen weniger Tage gefixt.

    > Abstellen lässt sich das Problem momentan nur durch das Abschalten von "Active Scripting".

    Wann bitte sehr sieht Microsoft endlich ein, diesen Kram aus ihrem Browser rausnehmen? Es ist kein Wunder, dass der IE der unsicherste Browser ist, wenn man von außen Zugriff auf dass komplette System hat.

    > In einem internen Testlauf stellten wir fest, dass das Exploit auf einem Windows XP mit IE 6.0 erst lauffähig war, nachdem wir alle aktuellen Sicherheitspatches von windowsupdate.com eingespielt hatte

    Sicherheitspatches bringen immer wieder neue Lücken. Da kann doch eigentlich etwas nicht stimmen oder?

    IE User sollten langsam mal darüber nachdenken den Browser zu wechseln. Ich wundere mich manchmal echt. In meinem Bekanntenkreis kenne ich Leute, die mit Windows und dem IE ohne Sicherheitspatches und ohne Virenscanner unterwegs sind. Von einer Firewall ganz zu schweigen.
    Ich möchte mal den Supergau erleben, wo alle solche PC}s durch den IE zerstört werden. Das WWW hätte 70% weniger User ;-).

    Einen Schönen Abend wünscht
    Thomas

    PS: Bitte kein geflame ;-)
     
  2. Bio-logisch

    Bio-logisch Halbes Megabyte

    Registriert seit:
    18. Februar 2002
    Beiträge:
    708
    Bei mir gibt es gar kein Active - Zeug, 100% MS freies OS Dank Linux!

    Und bisher habe ich nur 3 Seiten gesehen, die ich mir nicht anschauen konnte - die wahren verschmerzbar...

    Was diesen Trojaner für Linux weiter oben anbelangt, der wurde immerhin sofort erkannt:
    Dafür gibt es so etwas wie md5sum...

    MfG, Bio-logisch
     
  3. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo Thomas !

    Also zunächst mal zu Active-X.Da stimme ich dir im Wesentlichen zu.Das ist in der Tat eine relativ gefährliche Technologie, weil die Active-X-Komponenten direkt auf das System zugreifen können.Bemerkenswert ist dabei insbesondere, dass man ja bei Java einen relativ hohen Aufwand betreibt, genau diesen direkten Zugang zum System mit der Java Virtual Machine zu verhindern und mit einer Art Sandbox zu arbeiten.Auch das Zertifizierungssystem für Active-X-Komponenten ist schon gelegentlich ausgetrickst worden.Die meisten User, die sich einen Dialer einfangen, klicken bei der Dialogbox, ob das Active-X-Elemet als vertrauenwürdig gelten soll und geladen werden soll auf "Ja" und das wars dann.Deshalb sollte man in den Browsereinstellungen im IE zumindest das Herunterladen der Active-X-Komponenten(zunächst mal auch der vertrauenswürdigen) deaktivieren.Bei bestimmten Aktionen (z.B. Betriebssystem-Update auf Microsoft-Seiten) kommt man nicht darum herum, diese Einstellung zumindest temporär zu aktivieren.
    Etwas anders sehe ich die Dinge beim Active Scripting.Dynamische Webseiten lassen sich heute kaum noch ohne Javascript konstruieren.Z.B. eine Abfrage der Bildschirmauflösung beim User läßt sich ohne Javascript nicht realisieren.Deshalb bin ich hier der Meinung, dass eine Deaktivierung mit zu vielen Einbußen beim Surfen verbunden ist und man Teufel mit Beelzebub austreibt.

    franzkat
    [Diese Nachricht wurde von franzkat am 15.11.2002 | 14:59 geändert.]
     
  4. Thomas S.

    Thomas S. Halbes Megabyte

    Registriert seit:
    17. Oktober 2001
    Beiträge:
    648
    Hallo Franzkat,

    sicher hast du recht, dass eine Software, die von 90% der User eingesetzt wird natürlich auch bei Viren gut ankommen. Aber würden im IE nicht solche Micxrosoft eignenen Standards wie ActiveX verbaut wäre dieser Browser schon wesentlich sicherer. Ich nehme an, das 99% der IE User ActiveX nicht deaktiviert haben.
    Und wieso werden Bugs von Microsoft erst so spät gepatcht oder manchmal sogar ignoriert?

    MfG Thomas
     
  5. Thomas S.

    Thomas S. Halbes Megabyte

    Registriert seit:
    17. Oktober 2001
    Beiträge:
    648
    Hast du das Zeug mal abgestellt?
    Ich bekomme auf jeder 2. Seite eine irrelevante Fehlermeldung, die Seite könnte nicht angezeigt werden. Das nervt ganz gewaltig.
    Komischerweise besitzen andere Browser dieses ActiveX und ActiveScripting nicht, und trotzdem klappt alles. Komisch oder?
    Webmaster sollten sich ganz genau überlegen, ob sie wichtige Bereiche einer HP (z.B. Navigation) in ActiveX machen. Denn sonst könnten bloß IE User diese benutzen. Eigentlich sollte sowas überhaupt nicht genommen werden.

    MfG Thomas
     
  6. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Hallo Thomas !

    Ich denke, dass hier z.T. auch eine sozusagen statistische Fehleinschätzung vorliegt.Die Tatsache, dass der IE oder Outlook Express besonders viele Sicherheitslücken hat, hat nicht nur etwas damit zu tun, dass die Software so fehlerhaft programmiert ist, sondern ganz wesentlich damit, dass der Verbreitungsgrad dieser Software so groß ist, dass es für Hacker und Cracker aller Artv auf der ganzen Welt eben besonders interessant ist, die Sicherheitslöcher gerade dieser Programme zu entdecken.Wenn ich als Hacker oder Virenprogrammierer Erfolg haben möchte, suche ich mir nicht die Software aus, die einen relativ geringen Verbreitungsgrad hat.Deshalb wäre es auch naiv anzunehmen, ein anderer Browser oder ein anderes Mailprogramm hätten weniger Sicherheitslücken.Sie werden nur nicht so schnell entdeckt, weil sich viel weniger Leute intensiv damit befassen.Trotzdem gilt natürlich für den einzelnen User die Logik : Je weniger bekannte Sicherheitslöcher eine Software aufweist, desto sicherer ist sie für mich.Aber wie gesagt,daraus läßt sich aus den oben genannten Gründen kein Urteil über die Qualität der Microsoft Produkte ableiten.

    franzkat
     
  7. anakin_x4

    anakin_x4 Megabyte

    Registriert seit:
    26. Juni 2001
    Beiträge:
    1.078
    "Ich möchte mal den Supergau erleben, wo alle solche PC}s durch den IE zerstört werden. Das WWW hätte 70% weniger User "

    Wenigstens wär}s dann schön schnell ;-)

    Mal im Ernst : als Admin in einem Windows Netz kann man sich nur noch die Haare raufen - die Flut an Hotfixes und Patches erschlägt einen dermaßen, dass man nicht mehr weiss wo einem der Kopf steht. Und es ist ja nicht mit System und IE getan - Office, IIS, Exchange ... man könnte heulen !
    Hinzu kommt dann noch, dass man bei Erscheinen eine Hotfixes ja nicht sofort und guten Gewissens loslegen kann - nein, mind. 2 Wochen muss man warten, ob nicht durch das Einspielen neue Löcher gerissen werden oder es nachteilige Wirkungen bzgl. der Gesamtstabilität gibt. Andere Lücken werden beharrlich ignoriert.
    Wie gesagt, schon zum Haare raufen ...

    Gruss,

    anakin_x4
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen